Datenleck bei Numa Group: Hintergrund und rechtliche Möglichkeiten

Bei der Hotelkette Numa, die für ihren vollständig digitalen Check-in ohne klassische Rezeption bekannt ist, wurde eine gravierende Sicherheitslücke im Online-Buchungssystem entdeckt. Das Datenleck bei Numa ermöglichte den Zugriff auf sensible Daten von über 500.000 Hotelgästen. Diese können mögliche Auskunfts-, Schadensersatz- und Unterlassungsansprüche kostenlos von den Experten unserer Kanzlei prüfen lassen.

Kostenfreie Ersteinschätzung anfordern

Entdeckung und Umfang des Datenlecks

Der Chaos Computer Club (CCC) stieß auf das Datenleck, als dessen Sprecher Matthias Marx in einem Berliner Numa-Hotel einchecken wollte. Er wurde beim Einchecken aufgefordert, seinen Ausweis hochzuladen, obwohl das Zimmer bereits bezahlt war. Eine Stornierung war technisch nicht möglich. Nach dem Aufenthalt erhielt er einen Rechnungslink per E-Mail, in dessen URL die Rechnungsnummer enthalten war. Durch Änderung dieser Nummer konnte er auf Rechnungen und Daten anderer Gäste zugreifen. Insgesamt waren so über 500.000 Rechnungen und Ausweisdaten von Hotelgästen abrufbar.

Die Lücke bestand darin, dass die Rechnungsnummern und Dokumenten-IDs fortlaufend und nicht zufällig vergeben wurden. Durch einfaches Hoch- und Runterzählen der Rechnungsnummern in der URL konnten die Rechnungen und die damit verbundenen persönlichen Daten anderer Gäste abgerufen werden. Die zugänglichen Daten umfassten:

• Namen
• Postadressen
• Aufenthaltsorte und -zeiten
• E-Mail-Adressen
• Telefonnummern
• Hochgeladene Ausweisdokumente (z.B. Personalausweis, Reisepass).

Die Sicherheitslücke gilt als besonders gravierend, da sie gegen grundlegende Prinzipien der IT-Sicherheit (z. B. die Verwendung nicht vorhersagbarer IDs) verstoßen hat. Der CCC informierte umgehend Numa und die Berliner Datenschutzbehörde. Numa hat die Lücke geschlossen und die betroffenen Kunden informiert. Das Unternehmen hält jedoch bislang am digitalen Check-in mit Ausweis-Upload fest. Die Praxis der Datenerhebung und -verarbeitung bei Numa ist umstritten und steht im Fokus datenschutzrechtlicher Kritik. Seit Anfang 2025 besteht für deutsche Staatsbürger keine gesetzliche Pflicht mehr zur Vorlage oder Speicherung von Ausweisdaten.

Datenleck bei Numa: Was können Betroffene jetzt tun?

Die Folgen des Datenlecks für Kundinnen und Kunden von Numa können fatal sein. Die Daten können für Spam, Phishing, Identitätsdiebstahl und somit für Betrugsversuche missbraucht werden. Daher sollten Betroffene in nächster Zeit besonders aufmerksam sein und auf ungewöhnliche Vorgänge achten.

Nach der DSGVO ist Adidas verpflichtet, personenbezogene Daten zu schützen. Ein Datenleck stellt einen Verstoß gegen diese Verpflichtung dar. Betroffene können mögliche Ansprüche geltend machen. Aktuelle Urteile zeigen, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen ersatzfähigen Schaden darstellen kann.

• Sie haben nach Art. 15 Abs. 1 DSGVO das Recht, Auskunft darüber zu erhalten, ob und in welchem Umfang Sie von dem Datenleck betroffen sind.
• Betroffenen entsteht infolge eines Datenlecks auch ein sogenannter immaterieller Schaden. Es muss also kein finanzieller Schaden entstanden sein. Nach der DSGVO genügt ein immaterieller Schaden, um Ansprüche geltend machen zu können.
• Geschädigte haben einen Anspruch auf Unterlassung und können der Verarbeitung Ihrer Daten widersprechen.

Wir vertreten rechtsschutzversicherte Verbraucher*innen und setzen ihre Ansprüche auf Entschädigung durch. Neben der Geltendmachung von Schadensersatzansprüchen sichern wir Sie durch einen sogenannten Feststellungsantrag für mögliche zukünftige Schäden ab. Darüber hinaus kümmern wir uns um die Deckungszusage Ihrer Rechtsschutzversicherung und übernehmen im weiteren Verlauf die gesamte Korrespondenz mit der Versicherung.

Jetzt unverbindliche & kostenfreie Prüfung anfordern

Sie haben Fragen? Rufen Sie uns an unter 0711-9308110 oder schreiben Sie uns Ihre Fragen über unser Kontaktformular.